Sotto il nome ransomware va una ricca e variegata tipologia di malware salita alla ribalta nel corso degli ultimi cinque anni. Diffuso inizialmente in Russia, il ransomware infetta un computer proponendo una qualche forma di limitazione (ad accedere determinati file, per esempio) prima di far pressione sull’utente affinché paghi per rimuoverla.
Ha molti elementi in comune con lo "scareware", un approccio altrettanto diretto e potenzialmente spaventoso di estorcere denaro dagli utenti dei computer. Si tratta di una tattica molto efficace per i criminali, poiché la maggior parte degli utenti di computer non è consapevole che il problema potrebbe essere affrontato come qualsiasi altro tipo di malware, combattendolo con il software piuttosto che sottostare alle richieste dell'aggressore. 
L'attacco ransomware più classico vede i criminali limitare in qualche modo l'accesso al computer di un utente, crittografando i file in modo che l'utente non possa utilizzarli o compromettendo il sistema operativo stesso. Appariranno così messaggi visivi o e-mail, a volte mascherati da componenti legittimi di antivirus o software antimalware, a formulare le richieste dei criminali informatici. Il pagamento viene solitamente richiesto attraverso metodi non convenzionali e poco ritracciabili, come MoneyPak o Bitcoin, che rendono pressoché impossibile rintracciare i criminali. 
È una delle forme più sgradevoli di malware che prende di mira il pubblico generale, in quanto mette pressione psicologica diretta sulle vittime e le minaccia con la perdita permanente dei dati. 

Le vittime pagano perché non sanno cosa fare

Ogni "colpo" di successo non fa che alimentare la diffusione di questo tipo di malware. Ma non mancano gli sforzi da parte degli specialisti di sicurezza It di smantellare il codice che consente ai criminali di estorcere denaro dagli utenti di computer e di sfruttarne le relative debolezze, proprio come farebbero con qualsiasi software. 
Un esempio è DirCrypt, un tipo di malware che prende di mira i documenti e le immagini sul computer di una vittima e “finge” di sostituirli con richieste di riscatto in formato .rtf. Il danno sembra già essere stato fatto nel momento in cui la vittima cerca di aprire uno dei propri documenti, e viene accolto da un file di testo che illustra le richieste dei criminali e i dettagli di pagamento. A rendere DirCrypt particolarmente irritante, il fatto che lo stesso accadrà per tutti i file creati in seguito dall'utente. 

Ridurre i proventi del crimine

Gli esperti di sicurezza hanno scoperto la possibilità di invertire questo processo, dando la possibilità agli utenti di recuperare con successo i propri dati senza dover pagare il riscatto. Questo è stato possibile grazie a un’analisi approfondita del codice in questione, che ha riscontrato una vulnerabilità in precedenza non identificata.  
Si tratta di uno sviluppo che va in qualche modo a ridurre la redditività del ransomware, rallentandone la diffusione e rendendolo di fattp meno profittevole per i criminali. Riducendo al minimo (o, almeno, intaccando) i profitti di ogni ondata di ransomware, e sfruttando il fatto che i criminali informatici commettono errori, proprio come gli altri programmatori, il mercato dell’It Security sta rendendo il panorama online un po' più sicuro per tutti gli utenti di computer.

*Technical Manager Italy, Check Point Software Technologies